求介绍BD的ATC原理

fireherman

ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

谢谢科普，可惜我无加分权。

此外要补充一下：

HIPS除了AD，FD，RD外，还有ND（网络防御规则，Net Defend），只是拥有这种规则的杀软很少（Comodo拥有此规则）。

欧阳宣

ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

建议你不要太当真，楼主很喜欢把很多概念搞混然后互相套……

超超~.~

fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

生动直观，简直不能再影形象了！！

ccboxes

看完了上边的基础知识，现在说一说ATC。

首先，几个共识（如不同意任何一条，可以不必再看）：

1.ATC是多步主防；
2.ATC的防御能力至少一流，可称顶尖；
3.ATC有其特点，也有其缺陷。BD作为一流安软，与其他安软一样，与完美相差甚远。

ATC作为一款检出率极高的主防，在运作原理上是特立独行的，由于本人知识所限（高数普通水平，线性代数只会皮毛），只能给出一个极为简单与不精确的猜测，但有些事实是可以确定的。

为方便理解，我们先说说容易理解的普通的、基于逻辑的主防
假设一个恶意软件会格式化整个硬盘，造成无法开机，数据丢失。其行为顺序为：

加载数据到内存虚拟地址空间→加载内核驱动→将CPU由保护模式切换为内核模式→改写底层寄存器→进行底层I/O操作（格式化硬盘）。

而正好启发特征库中有一条叫做Heur.DiskWiper.1的定义，规定按上述行为运行的程序为病毒则主防运行时会：

拦截第一步行为→记录并比对→放行→拦截第二步行为→记录并比对→放行……拦截第五步行为→记录，符合Heur.DiskWiper.1→终止程序运行

就算加入无关行为，或者改变操作顺序（实际上关键操作的顺序不能改变，比如上面这一整套行为，就可以被称作底层磁盘访问的元操作，不能改变顺序），只要在比对算法上花一点心思即可查杀，这就是主防对变种病毒和免杀病毒极高查杀率的来源——让病毒的行为彻底暴露在启发分析之下，看的够清楚，一切都好说。


这种依靠预先定义的行为方式来查杀的方式被绝大部分安软所使用，但ATC不同，ATC使用一整套运行在本地的数学方式来评估程序的安全性，通俗的说，就是打分制，程序的分数超过一定值，便终止其运行。BD的白皮书仅仅提到打分制，而实际运作则语焉不详。对于其运行原理，有以下几个事实是可以确认的：
1.ATC的分析与云信誉关系不大，BD从2010年其开始使用基于数学的ATC，其真正成熟是在2012年，自此BD一直保持极高的检出率（之前则不尽理想），而BD的云GPN自2014年中旬才开始运作，但仅仅用于收集样本，其云信誉报法真正出现则是在今年9月。可知BD在云方面实际上是较为落后的，结合个人测试，断网时ATC的检出率也并未受到影响，尤其对白加黑的检测无碍。因此，我认为ATC可能有云联动，但绝不是下载智能分析这种万物杀形式的云信誉检查。

2.所谓的打分，绝不是像通常想象的那样规定某个行为X的分数是a，程序执行这个行为就给它加a分，这样的打分制没有考虑到行为之间的关系——即几个低危险操作的组合可能会造成严重后果。重复执行操作导致分数溢出等问题注定使用这种方式的ATC会成为史上最烂的主防，根据我自己的知识，将行为表示为向量，利用矩阵构建n维空间的办法可以将多步行为对系统的总体影响抽象为n维空间内的图形，接下来就可以使用模糊分析等数学方法来处理变种。这也是本人所学专业中耦合信号处理的常用方法（仅为猜测、猜测）。

3.ATC没有回滚功能（最大的缺憾），相对的，其拦截时间点极为靠前，有些样本仅仅跑出头几个行为便被拦截（但不是运行前就被拦截），很多勒索病毒甚至在触发BD的勒索保护之前就会被ATC击杀，这是我不能解释的，难道使用数学方法可以预测动作？期待有大神解读吧。

ysj963

ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识，现在说一说ATC。

首先，几个共识（如不同意任何一条，可以不必再看）：

牛。。。相当于行为启发，其实我觉得再改进点，多步主防之后超过危险阀值的直接拦截，超过合格阀值的最后一步由用户选择，这样还可以防流氓。不知道流氓软件是不是阀值很低，没什么危险行为就看不出来。也没有技术能识别分离哪些程序是一起的。缺乏行业统一标准。

ysj963

ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识，现在说一说ATC。

首先，几个共识（如不同意任何一条，可以不必再看）：

另外想问下，360的单步主防保护完整吗，有必要再用ESET对它补充吗？断网下360单步主防就等于是让用户自己判断了吗？

fireherman

ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识，现在说一说ATC。

首先，几个共识（如不同意任何一条，可以不必再看）：

3.ATC没有回滚功能（最大的缺憾），相对的，其拦截时间点极为靠前，有些样本仅仅跑出头几个行为便被拦截（但不是运行前就被拦截），很多勒索病毒甚至在触发BD的勒索保护之前就会被ATC击杀，这是我不能解释的，难道使用数学方法可以预测动作？期待有大神解读吧。

这个我倒可以理解。

---

1，首先就是“运行”，即使现在系统已经改变，变得更加直观，更加人性化；但实际上“程序的运行方式其实从来没变过”：程序还是需要【一行一行指令来执行（DOS系统就比较直观，因为DOS是开放系统，还是行执行命令系统）】；所谓的【多线程同步运行（例如一边开着播放器听MP3，一边开着个画板在写写画画），其实也就是“程序一行一行交错地运行”，只不过CPU处理速度非常快，人的感官不觉得是交错，而是同步而已。如果同时运行很多大型程序（如又玩大型3D游戏，又开着几十个视频网页，又开着下载等等；CPU一下子不能负荷，就出现鼠标卡顿、视频卡顿、音频卡顿等（行命令数量太多，所执行的数据还来不及返回））】。

上面这个罗罗嗦嗦的枚举，是为了说明：“一个程序运行时，依然是需要一行一行地去执行它所编写的指令的”。

---

2，内存。所有程序（.exe, .com 可执行文件）都必须要加载到内存里才能运行，一个程序是无法在磁盘直接执行的；没加载到内存的程序文件（.exe, .com文件）和普通的数据文件（.txt, .mp4, .jpg文件等）没有什么不同，只不过它们“不可读”而已（因为是二进制编码，而不像txt那样是文本编码）。

这点为了说明：“程序必须要经过内存才能运行”。

---

3，既然知道了【一个程序必须要加载到内存，然后一行一行来执行】，那么ATC击杀就好理解了。（也包括众多的主防）

一个勒索程序加载到内存，一行一行来执行，ATC其实就是一行一行来检查，当某一行指令触发了其（病毒）特征代码，而这一行出现在修改文件的行（命令）之前，BD马上作出反应：把程序从内存里清空（例如程序里的变量、指针等），并删除其行命令（所谓的修复、清除）或者直接删除文件（删除磁盘上的程序文件（上面说过了，没有加载到内存的程序文件只不过是个不可读的数据文档而已））。

---

主防就可以理解为，一行一行地检测程序所执行的指令，对其有害的指令（依靠特征库等判断）加以阻止的过程。（而因为每个杀软所编写的代码都不同，就导致个体的差异）；

PS：ESET就没有在这方面下工夫。

希望我的理解没错，有错也请不要打脸。

fireherman

ysj963 发表于 2016-10-5 10:38
另外想问下，360的单步主防保护完整吗，有必要再用ESET对它补充吗？断网下360单步主防就等于是让用户自己 ...

其实完全不需要安装2个杀软。

所谓的单步主防保护，实际上：ESET的HIPS就能做到（就是所谓的“交互模式”（一步一步地询问））。

当然，你可以通过编写HIPS规则，单纯地、有针对性地指向某个程序（软件），就能达到【单步防护的目的】。

罗曼语

ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

科普贴大赞

核弹总裁黄仁勋

fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

这个比喻很好